Выбор продукта для контроля доступа к ИТ-ресурсам — это просто

В последнее время буквально каждый эксперт по ИБ говорит о том, что периметра безопасности больше нет и необходимо сконцентрироваться на защите непосредственно доступа к ИТ-ресурсам. И они правы. Сотрудники больше не сидят в едином офисе. Они работают удаленно, проводят презентации в других городах и обращаются при этом к корпоративным ресурсам. Сама ИТ-инфраструктура стала децентрализованной. Многие компании имеют филиалы в других регионах, используют облачные сервисы. Персонал использует собственные мобильные устройства для оперативного решения рабочих вопросов.

Защитить ИТ-активы надежной стеной периметра в таких условиях трудно и дорого, поэтому ИБ переключает фокус с контроля доступа к ИТ-инфраструктуре компании в целом на контроль доступа к ИТ-ресурсам по отдельности. Давайте разберемся, как это работает и что для этого нужно.

Для контроля доступа нужно, во-первых, быть уверенным в том, что тот, кто сейчас работает, например, с базой данных компании — это ваш сотрудник. Во-вторых, чтобы сотрудник выполнял свои обязанности, ему нужен доступ к информационным системам. Чем быстрее он его получит, тем быстрее приступит к своим рабочим задачам. При изменении обязанностей, ему нужно динамично получить новые права на доступ. А при увольнении эти права нужно оперативно отозвать. В-третьих, представим ситуацию, в которой все ИТ-системы компании парализованы по какой-то причине, будь то несанкционированные действия извне или ошибки подрядчиков. Если компания терпит убытки в результате этого, то такой компании стоит задуматься о защите доступа к управлению ИТ-активами отдельно.

Построение эффективной системы контроля доступа основывается на 3 китах: надежная идентификация, управление правами и разрешениями пользователей и управление доступом к критическим ресурсам. Эти задачи решают инструменты MFA, IdM/IGA и PAM. Давайте разберемся, как они помогают защитить доступ к ИТ-ресурсам компании и ИТ-инфраструктуру в целом в условиях удаленной работы.

Надежная идентификация пользователей

Для доступа к ИТ-ресурсам используют, как правило, связку «учетное имя-пароль». У этого метода есть существенные недостатки: пароли могут подсмотреть, сотрудники могут передавать их друг другу, их можно подобрать. Скомпрометированные учетные данные — это очень распространенный способ начала кибератаки.

Недостатки парольной защиты снижает использование многофакторной аутентификации (MFA). MFA — это метод безопасности, требующий от пользователей предоставления не менее трех факторов аутентификации для доступа к системе. На практике чаще всего используют два фактора. Раньше само нахождение сотрудника в офисе могло служить дополнительным фактором подтверждения личности пользователя. Сейчас для этого используют биометрию, одноразовые пароли, аппаратные токены. 

Фактически MFA сегодня стала обязательные элементом информационной безопасности практически любой компании. Она позволяет подтвердить личность сотрудника, который запрашивает доступ к информационной системе. Разнообразие используемых технологий позволяет выбрать удобный для сотрудников вариант: одноразовые пароли через SMS, подтверждение в мобильном приложении, звонки на телефон, аппаратные токены и др.

Управление правами и разрешениями пользователей

Компаниям с большим числом сотрудников и/или с частыми кадровыми изменениями требуется быстро управлять правами и разрешениями: быстро предоставлять нужные права для доступа к платформе обучения персонала, работы с базой данных, CRM-системой и т.д. Вручную это делать очень ресурсоемко, автоматизировать эти задачи позволяют системы управления идентификацией IdM (Identity Management) или IGA (Identity Government and Administration).

IdM автоматически создают и удаляют учетные записи, наделяют сотрудника нужными правами при изменении его бизнес-роли. Они также помогут при проверке оснований для наделения сотрудника правами и при реорганизации подразделений.

IGA обладают более широкими возможностями. Такие системы предупредят о появлении у сотрудника избыточных разрешений и сгенерируют отчет о соблюдении нормативных требований. Поэтому IGA не только минимизируют время простоя персонала из-за ожидания новых разрешений и снимают лишнюю нагрузку с ИТ, но и упрощают проведения аудита и гарантируют, что компания сможет продемонстрировать соответствие требованиям регулятора.

Управление доступом к критическим ресурсам

Пользователи компаний имеют разный уровень доступа к ИТ-ресурсам: есть пользователи, которые работают в офисных программах, имеют доступ к принтеру и могут скачивать файлы с сетевых папок компании. Их несанкционированные действия не могут нанести серьезный ущерб бизнесу. Но есть пользователи, которые могут изменять настройки оборудования и важных систем, скачивать, модифицировать и удалять критические данные и даже отключать инструменты ИБ. Такие пользователи называются привилегированными. Несанкционированные действия привилегированного пользователя, имеющего полный доступ к ресурсам, могут представлять угрозу всему бизнесу. Правами таких пользователей нужно управлять отдельно, а их действия — фиксировать и контролировать. Для решения этих задач применяют системы управления привилегированным доступом или PAM-системы.

Задача PAM — предоставить администраторам безопасный контролируемый точечный доступ именно к тому ресурсу, который необходим в данный момент. Такие системы представляют собой единую панель, с помощью которой администратор согласует доступ и подключается к различным системам. PAM-инструменты повышают эффективность работы ИТ-персонала, максимальный эффект от внедрения PAM достигается при полном охвате ИТ-ресурсов, для этого должна быть возможность интеграции с любыми, даже унаследованными системами.

Для построения надежной системы контроля доступа необходимы инструменты MFA, IGA и PAM. И для контроля доступа к ИТ-ресурсам необходимо использовать эти инструменты комплексно.